android 的病毒是利用什麼散佈的?? - Android

※ 引述《stockapp (平安就是福)》之銘言：
: Android的漏洞並沒有很多。即使有，也要很多組合條件，才有辦法拿來做攻擊。
: 主要是開放特性，讓開發者可直接存取特別權限，所以就可以做很多事。
: （像是上面講的發簡訊，不過4.2之後已經有做控管，還要使用者手頭確認才會發出去）
應該是4.4 Kitkat才有控管簡訊。
不過也是有例外，就是Google自己的程式。

在原生4.4.4系統下，我將預設簡訊app設定為"簡訊"，
照理說，其他app應該無法收發簡訊，除非我暫時修改預設簡訊app。
但是，當我安裝Google的Hangouts，第一次啟動會問你要不要發簡訊驗證電話號碼，
你如果選是，Hangouts自動就會完成簡訊發送及接收，
完全不需要修改預設簡訊app。

: Google有重視到這些問題，在每個app安裝前，會要求使用者確認權限，
其實我覺得Google在App權限的確認上，並沒有朝重視安全性的方向努力，
反而是不斷簡化權限確認步驟。

自從Play Store 4.8.19更新以後，
應該很多人發現下載app的權限說明變得很模稜兩可，
以往細項的權限描述，被歸類到只剩下幾個大的群組。

甚至在app更新時，如果新權限與舊權限被歸類在同一個群組，
則不用使用者同意新權限，即會更新app，
這是一個很明顯的漏洞。
一個程式在更新多次之後，可以不需要使用者同意，就取得比以前更多的權限

詳細可閱讀此來自xda的文章:
[Play Store Permissions Change Opens Door to Rogue Apps]
http://goo.gl/GXHBms

或來自趨勢科技
[Google Play更新改變了權限模式，但不是變得更好]
http://blog.trendmicro.com.tw/?p=8618

進而，連在Xposed都出現了修正此權限問題的模組:
[Fix the New Google Play Store Permissions System Using Xposed]
http://goo.gl/7ugHQq

: 但使用者如眾多版友所提，就是直接下一步。
: Google Play上，Google也是持續有在掃描，若發現是惡意程式也很快下架。
: 主要就是不要輕易安裝非Google Play的，可以降低中獎機率很多。

我認為Google目前對app的控管，比較偏向是對開發者有利而非使用者，
事實上，因為一般使用者無法個別控制app的權限，
如果你不滿某app為何要某個權限時，你只能不爽不要用 (除非有root)
不然多數人為了要盡快使用某app的功能，可能也只好按下同意，
進而養成很多人輕易按[下一步]的習慣也是無可厚非...


--